我有一个使用资源所有者密码流的JavaScript应用程序,因此可以在浏览器中轻松获取客户端ID,密码,用户名和密码。
客户端使用CORS设置allowedCorsOrigins列表。
但是我发现,如果我在控制台应用程序中向Identity Server提供这些详细信息,我仍然可以检索访问令牌(主要是因为原点为空)。
有什么方法可以拒绝没有来源的请求?否则,这似乎真的不安全。
static TokenResponse RequestToken()
{
var client = new TokenClient(
"https://localhost/IdentityServer/core/connect/token",
"ro.client",
"A1C2D49kHX102");
return client.RequestResourceOwnerPasswordAsync("user", "pwd", "scopeA scopeB").Result;
}